网络安全攻防实验室方案

网络安全攻防实验室

建设方案

XXXX信息科学与工程学院

2020/5/9

目录

第一章网络安全人才需求 (3)

1.1网络安全现状 (3)

1.2国家正式颁布五级安全等级保护制度 (3)

1.3网络安全技术人才需求猛增 (4)

第二章网络安全技术教学存在的问题 (4)

2.1网络安全实验室的建设误区 (4)

2.2缺乏网络安全的师资力量 (4)

2.3缺乏实用性强的安全教材 (5)

第三章安全攻防实验室特点 (5)

3.1安全攻防实验室简介 (5)

第四章安全攻防实验室方案 (6)

4.1安全攻防实验室设备选型 (6)

4.1.1 传统安全设备 (6)

4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品 (6)

4.2安全攻防实验室拓扑图 (8)

4.3安全攻防实验室课程体系 (9)

4.3.1 初级DCNSA网络安全管理员课程 (9)

4.3.2 中级DCNSE网络安全工程师课程 (10)

4.4高级安全攻防实验室实验项目 (12)

4.4.1基本实验 (12)

4.4.1扩展实验 (14)

第七章网络实验室布局设计 (25)

7.1 实验室布局平面图 (25)

7.2 实验室布局效果图 (25)

7.3 机柜摆放位置的选择 (26)

第一章网络安全人才需求

1.1网络安全现状

信息技术飞速发展，各行各业对信息系统的依赖程度越来越高，建立持续、稳定、安全的网络是保障用户业务发展的前提。

近年来，安全问题却日益严重：病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷，而且技术越来越复杂，病毒、木马及黑客技术等融合造成了网络安全的巨大危机。

用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制，备份等保护手段来保护信息系统的安全。

但是网络安全的技术支持以及安全管理人才极度缺乏。

1.2国家正式颁布五级安全等级保护制度

2007年7月24日，公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上线颁布了信息安全等级保护规定，信息安全等级保护管理办法及实施指南，颁布了《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护基本要求》等办法。

办法明确规定，信息系统的安全保护等级分为五级，不同等级的信息系统应具备的基本安全保护能力如下：

第一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度

的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力：（略）。

等保制度的颁布将网络安全的重要性提高到法律法规的高度，并催生了一个新的职业：网络安全评估工程师/专家，该职位属于IT行业的顶级职位，目前的人才储备远远不能满足行业需求。

1.3网络安全技术人才需求猛增

网络安全技术涉及到国民经济的各个领域，技术发展迅速，在中国对安全人才的需求数量大，人才的需求质量高，高技能型应用人才十分缺乏，据51Job、中华英才网等人力资源网站统计，近年，人才市场对网络安全工程师的需求量骤增，大中型企业都已经设置了专业的网络安全管理员，中小企业也大量需要懂得网络安全的网络管理员，银行、证券、保险、航空、税务、海关等行业尤其看重。

网络安全行业的就业需求将以年均14%的速度递增，2008年，网络安全行业的就业缺口人数将达到20万以上。

网络安全工程师需要更高更全面的技术学习，因此薪资水平较一般网络工程师高，可以达到1.5至3倍的水平，走俏职场成为必然。

第二章网络安全技术教学存在的问题

2.1网络安全实验室的建设误区

很多学校在建设网络安全实验室的时候都会走进一个误区，往往认为安全设备的安装调试就是安全实验室，没有把安全攻防、系统加固作为网络安全实验室的建设内容。

安全设备的安装调试以及安全网络的拓扑设计的确是安全实验室的重要内容，但应该不仅仅是这些内容。大部分的网络安全实验室之所以建成安全设备的调试级别，主要是因为组织实验室方案的往往是设备厂商，作为设备厂商关注的问题就是如何更多地销售设备，这就导致实验室的层次偏低，实验项目不全面。

2.2缺乏网络安全的师资力量

网络安全是网络行业中技术含量较高的方向，安全人才较为缺乏，学校师资也是一样，好的师资是网络安全实验室教学中的一个重要环节。通过师资培训，再加上好的环境来实践，可以保障网络安全教学师资的提升。

2.3缺乏实用性强的安全教材

目前市面上面的网络安全教材很多，但绝大部分都是以理论为主，很容易导致学生学习的厌烦感，教材的编排并没有针对性的网络安全实验，这也是网络安全实验开展困难的主要问题。

第三章安全攻防实验室特点

在一个已经部署防毒软件、防火墙、IDS、VPN等安全产品的实验室中，很少有人清晰的知道这些安全产品的作用，以及能够为计算机安全所带来的保障。配置和组网的实验带给学生的仍然是书面的理论知识，学生没有一个整体的概念。实验室严重匮乏的是安全设备的组合以及攻防环境的建立，这让很多学校以及企业感到无从着手，无力进行有效的网络安全培训，面对以下问题无所适从：

问题1：怎样的教学方式才能让学员更加快捷、高效的学习网络安全方面的知识？

问题2：什么样的教学环境才能让学员更容易、积极的学习网络安全方面的知识，增强网络安全意识？

攻防带给教学最真实的环境、最有效的实验方式，学会真正最实用性安全技术，在实验室中学生可以真实体验到未来工作中的网络状况，并加以排除、维护和改造。

3.1安全攻防实验室简介

目前，各行业用户对信息系统的依赖程度也越来越高，建立持续、稳定、安全的网络是保障用户业务发展的前提。大家都认识到安全的重要性，纷纷采用防火墙、加密、身份认证、访问控制，备份等保护手段来保护信息系统的安全。与此同时，安全问题日益严重，病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷，而且技术越来越复杂，病毒、木马及黑客技术等融合造成了网络安全的巨大危机。因此，国内人才市场对网络安全工程师的需求量骤增，大中型企业需要精通网络安全的网管人员。

原来的网络安全实验室都是面向设备安装调试以及设备组网的实验室，没有针对网络管理员实际遇到的安全攻防做出相应的训练。

网络攻防实验室采用SZSM的SZSM安全沙盒系统进行试验。

安全攻防实验室使用主流的安全设备：如防火墙、入侵检测与防御系统、统一威胁管理系统、终端安全系统、安全准入认证系统组成实验网络，将典型安全漏洞实验案例、主机系统加固实验案例以及漏洞扫描案例浓缩到称之为“安全沙盒”的安全攻防实验平台中。安全沙盒与所有安全设备组合部署成一个强大的网络测试环境，学生和研究人员可以更直观、

更有效、更方便地体验设备中安全技术的部署，观察并攻击“安全沙盒”中定制服务器常见的操作系统漏洞和网络应用服务漏洞等，然后在安全沙盒上进行系统加固，并可以利用整网的设备联动发现威胁、主动防御。安全沙盒的部署拓扑如下：

第四章安全攻防实验室方案

4.1安全攻防实验室设备选型

4.1.1 传统安全设备

传统的安全设备包括防火墙、UTM统一威胁管理、入侵检测引擎、认证计费、日志系统等产品，这些传统的安全设备可以组建完整的网络进行设备的安装调试，满足学生了解产品配置、了解产品功能的作用。传统的安全设备是安全攻防实验室不可或缺的产品，它们的组合可以完成安装调试级别的所有实验。

4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品

SZSM安全沙盒系统——DigitalChina Secure SandBox（简称：DCSS）为计算机安全教育提供实验课程以及实验环境。教师通过登录DCSS系统的管理平台SandBox Management

Centrol（简称：SMC）进行实验课程的教学工作，学生也可以通过登录SMC进行教学课程的实验操作。DCSS是SZSM网络公司专为网络安全攻防实验室研发的产品，是进行网络安全攻击和防御的模拟平台，锻炼学生动态网络安全维护的能力。其名取材于军事术语“沙盘”，这意味着安全沙盒可以通过模拟实战演练战术和技术，其先进的设计理念为国内首创。

安全沙盒系统为计算机及网络安全教育提供多系统平台的教学课件，在教学、培训过程中，根据需要可以启动基于不同操作系统平台的教学课件，满足所有教学环境的需求。

安全沙盒系统为计算机及网络安全教育提供多模式的安全攻防实验课件，能够进行各种安全威胁的攻防操作，针对不同的攻击防御模式，提供多种实验课件选择。

安全沙盒系统的全部课件均是将安全理论与实际环境和动手操作相结合的实验课程，所有的学习过程中，都需要通过实际动手进行实验操作，完成课件要求的安全威胁攻击以及针对该攻击的安全防御措施。通过不同的实验课程让学员亲身体验计算机及网络安全的攻防全过程，让学生从枯燥的理论学习中解脱出来，可以极大的提升学生学习网络安全知识的积极性，并帮助学生在未来的就业和职业发展奠定扎实、实用的技术基础和经验。

安全沙盒具有10个千兆电口，其中2个用于管理，8个用于学生实验，可以满足8人同时实验，并具有如下特点满足教学需求：

1、独立的实验环境：教师通过SMC控制台可以为学生开启各种计算机安全教学课程的实验环境，学生可以在实验环境中进行各种计算机安全的攻防实验。独立隔离的实验环境不会对其他网络造成危害。

2、可定制的安全实验课件：教师可以在SMC控制台上进行日常教学的课程定制，根据已有的实验课件，教师可以自行编写教学课程内容。

3、支持多实验课程同时进行：教师可以在SMC控制台上进行多个计算机安全实验课程的教学，通过启动不动的安全实验课件，为不同的学生分配相应的实验课程。

4、支持单独的实验评分系统：教师可以在SMC控制台上为上课的学生进行实验评分，每个学生都可以有自己的实验分数，且支持对学生实验成绩可以导出功能。

5、具备实验课程在线帮助：学生在进行每个实验课程时，都可以通过在线实验说明，实验提示步骤，自行完成实验课程。

4.2安全攻防实验室拓扑图

在安全攻防实验室方案中，我们把实验室分成了六个区域：

系统攻防演练区

内网核心安全域

外部网

DCBA BAS 设备

802.1x 交换机UTM UTM

DCBI

N L n k M a n g e r e C o e g e

IDS 入侵检测引擎

防火墙

内部网

1、网络VPN 安全域：使用防火墙进行VPN 技术的组网和配置，让学生了解VPN 技术的特点、适用范围以及安装调试。

2、网络接入安全域：使用802.1x 技术、web 接入技术或者PPPoE 接入技术管理接入安全，也可以利用DCSM 内网安全管理系统进行病毒检查和资产评估。

3、内网核心安全域：部署日志系统和Radius 服务器进行安全审计。

4、网络边界域：具有流量整形网关设备、UTM 和BAS 设备，可以很完整的管理边界安全。

5、模拟外网安全域：主要进行远程接入的安全设置以及模拟外网产生的恶意扫描和攻击。

6、系统攻防演练区：安全沙盒是主要设备，在安全沙盒上进行系统的攻击和防御，IDS 入侵检测引擎负责网络安全的嗅探和威胁发现。为了保证安全沙盒不对网络的其他区域造成危害，还需要使用防火墙和其他区域隔离，使用DCSM 内网安全管理系统对这些工具和软件

进行资产管理，防止学生私自复制，对校园网络造成危害。

安全攻防实验室不再是普通意义上的设备安装调试级别的实验室，它带来全新的实验室理念，即运维攻防级别的实验室理念，它提供了全动态绝对真实的网络实训环境。对学生而言网络不再是一台台静止的设备组成，而是具有各种关联，提供各种服务，存在各种威胁的一个动态的整体。

4.3安全攻防实验室课程体系

形成专门的两级安全认证体系：

4.3.1 初级DCNSA网络安全管理员课程

掌握程度分为：掌握、理解、了解三个层次。

项目类型一级知识点二级知识点课时数

掌握

程度

项目1：局域

网安全攻防

技术

局域网设备安

全

交换机设备安全 2 掌握

安全的控制台访问 2 掌握

配置特权密码 1 掌握

service password-encryption命令 1 掌握

配置多个特权级别 2 掌握

警告标语(Warning Banners) 2 掌握

交互式访问 2 掌握

安全vty访问 2 掌握

安全Shell(SSH)协议 2 掌握

4.3.2 中级DCNSE网络安全工程师课程

掌握程度分为：掌握、理解、了解三个层次。

4.4高级安全攻防实验室实验项目4.4.1基本实验

4.4.1扩展实验

安全沙盒是一个可以不断扩展的实验平台，教师可根据课程需要自行研发扩展实验，教师按照一定的研发规则自行研发相应实验课件导入安全沙盒，SZSM提供必要的技术支持。

建设内容

（包括建设思路；在条件与环境、运行管理、开放共享、安全环保、特色等方面的规划建设内容；必要性与可行性分析；实施条件等）

各个实验室目前用的板凳和座椅存在着较多损坏的情况，加上学生数量的增加，在分组进行实验的情况下座椅存在严重不足，需要维修原有座椅和购置一定数量的座椅。计算机组成与结构实验室需增加座椅60把，微机系统实验室需增加30把，各实验室总共需要维修的椅子40把。

四、经费预算

（包括预算总额、支出内容、测算依据、年度安排等）

表3.仪器设备购置计划表（分年度排序，同年度按重要性排序）

表4.仪器设备购置理由说明表（应与表3.排序一致）